CN110543767A - 一种针对开源组件漏洞自动化监控方法及*** - Google Patents
一种针对开源组件漏洞自动化监控方法及*** Download PDFInfo
- Publication number
- CN110543767A CN110543767A CN201910736713.7A CN201910736713A CN110543767A CN 110543767 A CN110543767 A CN 110543767A CN 201910736713 A CN201910736713 A CN 201910736713A CN 110543767 A CN110543767 A CN 110543767A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- open source
- component
- source component
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种针对开源组件漏洞自动化监控方法及***,包括如下步骤:调度爬虫搜索抓取国内外漏洞披露平台最新发布的数据;将抓取的数据记录并更新至本地开源组件漏洞库;调度指纹扫描器探测***及服务所使用的开源组件并将扫描结果进行记录并更新至开源组件资料库;将抓取的数据与开源组件资料库中信息进行匹配筛选当前存在风险的组件;调度组件漏洞反馈记录机制,对相关负责人进行预警。实现自动化漏洞预警追踪和安全构建,安全人员只需关注筛选后与产品和公司相关漏洞,节省了超大工作量,提高了安全漏洞发现和追踪的效率;提高漏洞追踪范围;24小时内即可响应最新爆出漏洞,提高公司网络安全响应时效。
Description
技术领域
本发明涉及***开发技术领域,具体涉及一种针对开源组件漏洞自动化监控方法及***。
背景技术
在软硬件***开发过程中,通常会引用各类的开源组件,实现不同的功能避免重复造轮子的情况。但是不同的开源组件会存在各式各样已知或新爆出的安全漏洞,部分重要的开源组件和严重的安全漏洞可能会导致全部产品存在致命安全隐患,易被利用造成经济损失和产品影响。所以及时对开源组件漏洞进行修复和升级非常重要。
现阶段对开源组件漏洞进行处理主要存在如下问题:1、对于开源组件规模日益增大,导致漏洞种类繁多,数量巨大,而漏洞修补需要人工对每个组件进行发现、确认和研究,分析效率低下。2、由于每个组件对于漏洞爆出及修补的时间也不一致,组件种类过多,导致无法及时发现漏洞并修补。如果要对每类开源组件及组件每个版本漏洞进行统计追踪,需要手工执行几万次冗余重复的操作,耗费大量时间、人力成本。3、当前所有自动化漏洞扫描和管理均是基于扫描探测服务来进行发现,对于不与外部通信的开源组件漏洞难以发现,容易造成漏报,给企业和产品带来风险。4、当前漏洞扫描都需要定期更新漏洞库,无法及时响应24小时内0-day漏洞,时间滞后使漏洞造成影响更大和深远。
发明内容
针对公司级或一个web、C/S、嵌入式***及服务器等产品中所有引用的开源组件进行漏洞发现、预警及跟踪存在的上述问题,本发明提供一种针对开源组件漏洞自动化监控方法及***。
本发明的技术方案是:
一方面,本发明技术方案提供一种针对开源组件漏洞自动化监控方法,包括如下步骤:
调度爬虫搜索抓取国内外漏洞披露平台最新发布的数据;
将抓取的数据记录并更新至本地开源组件漏洞库;
调度指纹扫描器探测***及服务所使用的开源组件并将扫描结果进行记录并更新至开源组件资料库;
将抓取的数据与开源组件资料库中信息进行匹配筛选当前存在风险的组件;
调度组件漏洞反馈记录机制,对相关负责人进行预警。
进一步的,所述的将抓取的数据记录并更新至本地开源组件漏洞库的步骤包括:
对抓取的数据提取有效关键信息;
根据有效关键信息将数据整合过滤,以标准格式保存至本地开源组件漏洞库。
进一步的,调度爬虫搜索抓取国内外漏洞披露平台最新发布的数据的步骤中,国内外漏洞披露平台包括CVE、cnnvd、cnvd;
有效关键信息包括CVE-ID、漏洞名称、漏洞详细内容、漏洞组件、影响组件版本、修复补丁地址、修复版本。
进一步的,所述的将抓取的数据与开源组件资料库中信息进行匹配筛选当前存在风险的组件的步骤具体包括:
调度自动化漏洞分析对每日抓取的漏洞进行循环遍历正则匹配,筛选开源组件资料库中相关的组件漏洞并对漏洞版本和登记当前组件版本进行对比,判断是否当前组件存在漏洞。
进一步的,所述的调度组件漏洞反馈记录机制,对相关负责人进行预警的步骤包括:
对判断存在漏洞的组件调度漏洞反馈记录机制,将安全漏洞CVE-ID、漏洞名称、版本信息合并组合写入到数据库和excel表中,并提取摘要信息进行邮件发送相关负责人进行预警。
进一步的,该方法还包括:
追踪反馈漏洞处理结果,若在设定时间阈值范围内检测漏洞没有被处理,再次发送邮件至相关负责人进行督促漏洞修改。
另一方面,本发明技术方案提供一种针对开源组件漏洞自动化监控***,包括漏洞抓取模块、漏洞数据存储展示模块、组件检测识别模块、处理模块和预警模块;
漏洞抓取模块,用于调度爬虫搜索抓取国内外漏洞披露平台最新发布的数据;
漏洞数据存储展示模块,用于将抓取的数据记录并更新至本地开源组件漏洞库并提供快速展示查询功能;
组件检测识别模块,用于调度指纹扫描器探测***及服务所使用的开源组件并将扫描结果进行记录并更新至开源组件资料库;记录内容包括开源组件的生命周期、版本release以及版本漏洞;
处理模块,用于将抓取的数据与开源组件资料库中信息进行匹配筛选当前存在风险的组件;
预警模块,用于调度组件漏洞反馈记录机制,对相关负责人进行预警。
进一步的,所述的漏洞数据存储展示模块包括关键信息提取单元、处理存储单元;
关键信息提取单元,用于对抓取的数据提取有效关键信息;有效关键信息包括CVE-ID、漏洞名称、漏洞详细内容、漏洞组件、影响组件版本、修复补丁地址、修复版本
处理存储单元,用于根据有效关键信息将数据整合过滤,以标准格式保存至本地开源组件漏洞库。
进一步的,所述的处理模块包括正则匹配单元,处理单元和判断单元;
正则匹配单元,用于调度自动化漏洞分析对每日抓取的漏洞进行循环遍历正则匹配;
处理单元,用于筛选开源组件资料库中相关的组件漏洞并对漏洞版本和登记当前组件版本进行对比;
判断单元,用于根据处理单元输出的结果判断是否当前组件存在漏洞;
所述预警模块包括信息整合单元、邮件编辑发送单元;
信息整合单元,用于对判断存在漏洞的组件调度漏洞反馈记录机制,将安全漏洞CVE-ID、漏洞名称、版本信息合并组合写入到数据库和excel表中;
邮件编辑发送单元,用于提取摘要信息进行邮件发送相关负责人进行预警。
进一步的,该***还包括结果反馈模块和查询模块;
结果反馈模块,用于追踪反馈漏洞处理结果;
邮件编辑发送单元,还用于若在设定时间阈值范围内结果反馈模块输出检测漏洞没有被处理,发送邮件至相关负责人进行督促漏洞修改;
查询模块,用于在***中对开源组件生命周期、版本release以及版本漏洞进行检索查询。
通过自动化爬虫及指纹识别对开源组件和安全漏洞进行高效率检测、精准筛选,并推送预警到相关研发责任人,实现自动化漏洞预警追踪和安全构建,安全人员只需关注筛选后与产品和公司相关漏洞,节省了超大工作量,提高了安全漏洞发现和追踪的效率;而且改进了通用漏洞扫描只能通过网络探测导致第三方库及组件发现不全的问题,覆盖了全部在用第三方组件,提高漏洞追踪范围;24小时内即可响应最新爆出漏洞,提高公司网络安全响应时效。
从以上技术方案可以看出,本发明具有以下优点:本申请用于对公司层面或产品层面(web、C/S、嵌入式、服务器等)所有引用第三方开源组件和应用安全漏洞进行高效率自动化批量检测、发现、预警及跟踪方法和***,在无人值守的情况下,通过自动化对数十万数量级别的开源组件漏洞进行分析预警和追踪,能够覆盖所有引用的第三方开源库及组件,避免现阶段通过网络扫描漏掉大量第三方库安全漏洞的情况;省去大量安全人员人工统计、分析、跟踪的工作;并能够在24小时内快速预警最新开源组件安全漏洞,实时跟踪漏洞发布,提高公司或产品网络应用安全及漏洞响应时效性。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著地进步,其实施的有益效果也是显而易见的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种针对开源组件漏洞自动化监控方法的示意性流程图。
图2是本发明实施例提供的一种针对开源组件漏洞自动化监控***示意性框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
实施例一
如图1所示,本发明实施例提供一种针对开源组件漏洞自动化监控方法,包括如下步骤:
S1:调度爬虫抓取搜索国内外漏洞披露平台最新发布的数据;
需要说明的是,本步骤中,设定每日零点自动调度爬虫对CVE、cnnvd、cnvd等国内外漏洞披露平台进行数据抓取;
S2:将抓取的数据记录并更新至本地开源组件漏洞库;
对抓取的数据提取有效关键信息并将抓取的数据整合过滤后,以标准格式保存至本地漏洞数据库;有效关键信息包括CVE-ID、漏洞名称、漏洞详细内容、漏洞组件、影响组件版本、修复补丁地址、修复版本等;
S3:调度指纹扫描器探测***及服务所使用的开源组件并将扫描结果进行记录并更新至开源组件资料库;在这里,由开源组件探测脚本对所登记产品引用的开源组件进行指纹识别,加上人工登记的开源组件信息,合并保存至本地开源组件资料库;
S4:将抓取的数据与开源组件资料库中信息进行匹配筛选当前存在风险的组件;上述信息抓取整合完毕后,调度自动化漏洞分析,对每日爆出的安全漏洞进行循环遍历正则匹配,筛选本地开源组件资料库中相关的组件漏洞并对漏洞版本和登记当前组件版本进行对比,判断是否当前组件存在漏洞;
S5:调度组件漏洞反馈记录机制,对相关负责人进行预警,本步骤中,对判断存在漏洞的组件调度漏洞反馈记录机制,将安全漏洞CVE-ID、漏洞名称、版本、涉及***及部门等信息合并组合写入到数据库和excel表中,并对摘要信息进行邮件发送相关负责人进行预警;
S6:追踪反馈漏洞处理结果,若在设定时间阈值范围内检测漏洞没有被处理,再次发送邮件至相关负责人进行督促漏洞修改。
追踪负责人对于安全组件漏洞的处理结果,每日检查负责人是否反馈处理结果并升级组件修复漏洞。自动化对数十万数量级别的开源组件漏洞进行分析预警和追踪,能够覆盖所有引用的第三方开源库及组件,避免现阶段常用通过网络扫描漏掉大量第三方库安全漏洞的情况;省去大量安全人员人工统计、分析、跟踪的工作;并能够在24小时内快速预警最新开源组件安全漏洞,实时跟踪漏洞发布,提高公司安全层次响应时效性;并能有效避免公司和产品因引用第三方开源组件、中间件、工具而导致的恶性安全漏洞,提高公司级网络及应用安全。
实施例二
如图2所示,本发明实施例提供一种针对开源组件漏洞自动化监控***,包括漏洞抓取模块11、漏洞数据存储展示模块22、组件检测识别模块33、处理模块44和预警模块55;
漏洞抓取模块11,用于调度爬虫抓取搜索国内外漏洞披露平台最新发布的数据;
漏洞数据存储展示模块22,用于将抓取的数据记录并更新至本地开源组件漏洞库并提供快速展示查询功能;
所述的漏洞数据存储展示模块22包括关键信息提取单元、处理存储单元;
关键信息提取单元,用于对抓取的数据提取有效关键信息;有效关键信息包括CVE-ID、漏洞名称、漏洞详细内容、漏洞组件、影响组件版本、修复补丁地址、修复版本
处理存储单元,用于根据有效关键信息将数据整合过滤,以标准格式保存至本地开源组件漏洞库。
组件检测识别模块33,用于调度指纹扫描器探测***及服务所使用的开源组件并将扫描结果进行记录并更新至开源组件资料库;记录内容包括开源组件的生命周期、版本release以及版本漏洞;
处理模块44,用于将抓取的数据与开源组件资料库中信息进行匹配筛选当前存在风险的组件;所述的处理模块44包括正则匹配单元,处理单元和判断单元;
正则匹配单元,用于调度自动化漏洞分析对每日抓取的漏洞进行循环遍历正则匹配;
处理单元,用于筛选开源组件资料库中相关的组件漏洞并对漏洞版本和登记当前组件版本进行对比;
判断单元,用于根据处理单元输出的结果判断是否当前组件存在漏洞;
预警模块55,用于调度组件漏洞反馈记录机制,对相关负责人进行预警。所述预警模块55包括信息整合单元、邮件编辑发送单元;
信息整合单元,用于对判断存在漏洞的组件调度漏洞反馈记录机制,将安全漏洞CVE-ID、漏洞名称、版本信息合并组合写入到数据库和excel表中;
邮件编辑发送单元,用于提取摘要信息进行邮件发送相关负责人进行预警。
实施例三
本发明实施例提供一种针对开源组件漏洞自动化监控***,包括漏洞抓取模块11、漏洞数据存储展示模块22、组件检测识别模块33、处理模块44和预警模块55;
漏洞抓取模块11,用于调度爬虫抓取搜索国内外漏洞披露平台最新发布的数据;
漏洞数据存储展示模块22,用于将抓取的数据记录并更新至本地开源组件漏洞库并提供快速展示查询功能;
所述的漏洞数据存储展示模块22包括关键信息提取单元、处理存储单元;
关键信息提取单元,用于对抓取的数据提取有效关键信息;有效关键信息包括CVE-ID、漏洞名称、漏洞详细内容、漏洞组件、影响组件版本、修复补丁地址、修复版本
处理存储单元,用于根据有效关键信息将数据整合过滤,以标准格式保存至本地开源组件漏洞库。
组件检测识别模块33,用于调度指纹扫描器探测***及服务所使用的开源组件并将扫描结果进行记录并更新至开源组件资料库;记录内容包括开源组件的生命周期、版本release以及版本漏洞;
处理模块44,用于将抓取的数据与开源组件资料库中信息进行匹配筛选当前存在风险的组件;所述的处理模块44包括正则匹配单元,处理单元和判断单元;
正则匹配单元,用于调度自动化漏洞分析对每日抓取的漏洞进行循环遍历正则匹配;
处理单元,用于筛选开源组件资料库中相关的组件漏洞并对漏洞版本和登记当前组件版本进行对比;
判断单元,用于根据处理单元输出的结果判断是否当前组件存在漏洞;
预警模块55,用于调度组件漏洞反馈记录机制,对相关负责人进行预警。所述预警模块55包括信息整合单元、邮件编辑发送单元;
信息整合单元,用于对判断存在漏洞的组件调度漏洞反馈记录机制,将安全漏洞CVE-ID、漏洞名称、版本信息合并组合写入到数据库和excel表中;
邮件编辑发送单元,用于提取摘要信息进行邮件发送相关负责人进行预警。
该***还包括结果反馈模块和查询模块;
结果反馈模块,用于追踪反馈漏洞处理结果;
邮件编辑发送单元,还用于若在设定时间阈值范围内结果反馈模块输出检测漏洞没有被处理,发送邮件至相关负责人进行督促漏洞修改;
查询模块,用于在***中对开源组件生命周期、版本release以及版本漏洞进行检索查询。
组件检测识别模块通过自动指纹识别或手工登记的形式实现公司或***所用的开源组件详细信息的管理和存储,生成***开源组件资料库;漏洞识别抓取模块通过爬虫机制每日自动对CVE等多个安全漏洞发布平台进行漏洞抓取比对及智能筛选,匹配***组件资料库中组件类型和版本,筛选当前存在风险的组件和漏洞;漏洞数据存储展示模块实时存储并更新每日发布组件安全漏洞,建立公司级漏洞数据库并提供快速展示查询功能,以方便快速对相关组件历年漏洞及修复进行查询;预警模块通过整理已存在和刚爆出的高危风险组件和漏洞,自动化调用邮箱功能对相关研发责任人进行漏洞通报和预警,并实时通报修复进展及计划。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种针对开源组件漏洞自动化监控方法,其特征在于,包括如下步骤:
调度爬虫搜索抓取国内外漏洞披露平台最新发布的数据;
将抓取的数据记录并更新至本地开源组件漏洞库;
调度指纹扫描器探测***及服务所使用的开源组件并将扫描结果进行记录并更新至开源组件资料库;
将抓取的数据与开源组件资料库中信息进行匹配筛选当前存在风险的组件;
调度组件漏洞反馈记录机制,对相关负责人进行预警。
2.根据权利要求1所述的一种针对开源组件漏洞自动化监控方法,其特征在于,所述的将抓取的数据记录并更新至本地开源组件漏洞库的步骤包括:
对抓取的数据提取有效关键信息;
根据有效关键信息将数据整合过滤,以标准格式保存至本地开源组件漏洞库。
3.根据权利要求2所述的一种针对开源组件漏洞自动化监控方法,其特征在于,调度爬虫搜索抓取国内外漏洞披露平台最新发布的数据的步骤中,国内外漏洞披露平台包括CVE、cnnvd、cnvd;
有效关键信息包括CVE-ID、漏洞名称、漏洞详细内容、漏洞组件、影响组件版本、修复补丁地址、修复版本。
4.根据权利要求3所述的一种针对开源组件漏洞自动化监控方法,其特征在于,所述的将抓取的数据与开源组件资料库中信息进行匹配筛选当前存在风险的组件的步骤具体包括:
调度自动化漏洞分析对每日抓取的漏洞进行循环遍历正则匹配,筛选开源组件资料库中相关的组件漏洞并对漏洞版本和登记当前组件版本进行对比,判断是否当前组件存在漏洞。
5.根据权利要求4所述的一种针对开源组件漏洞自动化监控方法,其特征在于,所述的调度组件漏洞反馈记录机制,对相关负责人进行预警的步骤包括:
对判断存在漏洞的组件调度漏洞反馈记录机制,将安全漏洞CVE-ID、漏洞名称、版本信息合并组合写入到数据库和excel表中,并提取摘要信息进行邮件发送相关负责人进行预警。
6.根据权利要求5所述的一种针对开源组件漏洞自动化监控方法,其特征在于,该方法还包括:
追踪反馈漏洞处理结果,若在设定时间阈值范围内检测漏洞没有被处理,再次发送邮件至相关负责人进行督促漏洞修改。
7.一种针对开源组件漏洞自动化监控***,其特征在于,包括漏洞抓取模块、漏洞数据存储展示模块、组件检测识别模块、处理模块和预警模块;
漏洞抓取模块,用于调度爬虫搜索抓取国内外漏洞披露平台最新发布的数据;
漏洞数据存储展示模块,用于将抓取的数据记录并更新至本地开源组件漏洞库并提供快速展示查询功能;
组件检测识别模块,用于调度指纹扫描器探测***及服务所使用的开源组件并将扫描结果进行记录并更新至开源组件资料库;记录内容包括开源组件的生命周期、版本release以及版本漏洞;
处理模块,用于将抓取的数据与开源组件资料库中信息进行匹配筛选当前存在风险的组件;
预警模块,用于调度组件漏洞反馈记录机制,对相关负责人进行预警。
8.根据权利要求7所述的一种针对开源组件漏洞自动化监控方法,其特征在于,所述的漏洞数据存储展示模块包括关键信息提取单元、处理存储单元;
关键信息提取单元,用于对抓取的数据提取有效关键信息;有效关键信息包括CVE-ID、漏洞名称、漏洞详细内容、漏洞组件、影响组件版本、修复补丁地址、修复版本处理存储单元,用于根据有效关键信息将数据整合过滤,以标准格式保存至本地开源组件漏洞库。
9.根据权利要求8所述的一种针对开源组件漏洞自动化监控***,其特征在于,所述的处理模块包括正则匹配单元,处理单元和判断单元;
正则匹配单元,用于调度自动化漏洞分析对每日抓取的漏洞进行循环遍历正则匹配;
处理单元,用于筛选开源组件资料库中相关的组件漏洞并对漏洞版本和登记当前组件版本进行对比;
判断单元,用于根据处理单元输出的结果判断是否当前组件存在漏洞;
所述预警模块包括信息整合单元、邮件编辑发送单元;
信息整合单元,用于对判断存在漏洞的组件调度漏洞反馈记录机制,将安全漏洞CVE-ID、漏洞名称、版本信息合并组合写入到数据库和excel表中;
邮件编辑发送单元,用于提取摘要信息进行邮件发送相关负责人进行预警。
10.根据权利要求9所述的一种针对开源组件漏洞自动化监控***,其特征在于,该***还包括结果反馈模块和查询模块;
结果反馈模块,用于追踪反馈漏洞处理结果;
邮件编辑发送单元,还用于若在设定时间阈值范围内结果反馈模块输出检测漏洞没有被处理,发送邮件至相关负责人进行督促漏洞修改;
查询模块,用于在***中对开源组件生命周期、版本release以及版本漏洞进行检索查询。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910736713.7A CN110543767A (zh) | 2019-08-10 | 2019-08-10 | 一种针对开源组件漏洞自动化监控方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910736713.7A CN110543767A (zh) | 2019-08-10 | 2019-08-10 | 一种针对开源组件漏洞自动化监控方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110543767A true CN110543767A (zh) | 2019-12-06 |
Family
ID=68710607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910736713.7A Pending CN110543767A (zh) | 2019-08-10 | 2019-08-10 | 一种针对开源组件漏洞自动化监控方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110543767A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111291385A (zh) * | 2020-05-12 | 2020-06-16 | 深圳开源互联网安全技术有限公司 | Js脚本文件漏洞检测方法及*** |
| CN111428248A (zh) * | 2020-06-10 | 2020-07-17 | 浙江鹏信信息科技股份有限公司 | 一种基于等级赋分的漏洞降噪识别方法及*** |
| CN111931183A (zh) * | 2020-07-31 | 2020-11-13 | 中国工商银行股份有限公司 | 开源软件安全漏洞处理方法和装置 |
| CN112016100A (zh) * | 2020-10-27 | 2020-12-01 | 深圳开源互联网安全技术有限公司 | 基于sca工具的数据库维护方法、装置及可读存储介质 |
| CN112016091A (zh) * | 2020-07-17 | 2020-12-01 | 安徽三实信息技术服务有限公司 | 一种基于组件识别的漏洞预警信息生成方法 |
| CN112016093A (zh) * | 2020-08-11 | 2020-12-01 | 安徽三实信息技术服务有限公司 | 一种用于漏洞标记的方法 |
| CN112115473A (zh) * | 2020-09-15 | 2020-12-22 | 四川长虹电器股份有限公司 | 一种用于Java开源组件安全检测的方法 |
| CN112257070A (zh) * | 2020-10-22 | 2021-01-22 | 全球能源互联网研究院有限公司 | 一种基于资产场景属性的漏洞排查方法及*** |
| CN112800430A (zh) * | 2021-02-01 | 2021-05-14 | 苏州棱镜七彩信息科技有限公司 | 适用于开源组件的安全与合规治理方法 |
| CN112868008A (zh) * | 2020-04-28 | 2021-05-28 | 深圳开源互联网安全技术有限公司 | Java开源组件的漏洞检测方法、装置及存储介质 |
| CN112905999A (zh) * | 2021-03-01 | 2021-06-04 | 武汉未意信息技术有限公司 | 恶意网站软件漏洞扫描安全检测*** |
| CN113162890A (zh) * | 2020-01-23 | 2021-07-23 | 北京华顺信安科技有限公司 | 自动攻击取证***、方法、计算机可读介质及设备 |
| CN113778509A (zh) * | 2021-08-13 | 2021-12-10 | 国网河北省电力有限公司电力科学研究院 | 一种确定开源组件的版本的方法、存储介质和电子装置 |
| WO2022247199A1 (zh) * | 2021-05-24 | 2022-12-01 | 深圳前海微众银行股份有限公司 | 一种开源组件的漏洞检测方法及装置 |
-
2019
- 2019-08-10 CN CN201910736713.7A patent/CN110543767A/zh active Pending
Non-Patent Citations (1)
| Title |
|---|
| 张剑: "《信息安全技术应用》", 30 April 2015 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113162890A (zh) * | 2020-01-23 | 2021-07-23 | 北京华顺信安科技有限公司 | 自动攻击取证***、方法、计算机可读介质及设备 |
| CN112868008A (zh) * | 2020-04-28 | 2021-05-28 | 深圳开源互联网安全技术有限公司 | Java开源组件的漏洞检测方法、装置及存储介质 |
| WO2021217421A1 (zh) * | 2020-04-28 | 2021-11-04 | 深圳开源互联网安全技术有限公司 | Java开源组件的漏洞检测方法、装置及存储介质 |
| CN111291385B (zh) * | 2020-05-12 | 2020-09-01 | 深圳开源互联网安全技术有限公司 | Js脚本文件漏洞检测方法及*** |
| CN111291385A (zh) * | 2020-05-12 | 2020-06-16 | 深圳开源互联网安全技术有限公司 | Js脚本文件漏洞检测方法及*** |
| CN111428248A (zh) * | 2020-06-10 | 2020-07-17 | 浙江鹏信信息科技股份有限公司 | 一种基于等级赋分的漏洞降噪识别方法及*** |
| CN112016091A (zh) * | 2020-07-17 | 2020-12-01 | 安徽三实信息技术服务有限公司 | 一种基于组件识别的漏洞预警信息生成方法 |
| CN111931183A (zh) * | 2020-07-31 | 2020-11-13 | 中国工商银行股份有限公司 | 开源软件安全漏洞处理方法和装置 |
| CN112016093A (zh) * | 2020-08-11 | 2020-12-01 | 安徽三实信息技术服务有限公司 | 一种用于漏洞标记的方法 |
| CN112115473A (zh) * | 2020-09-15 | 2020-12-22 | 四川长虹电器股份有限公司 | 一种用于Java开源组件安全检测的方法 |
| CN112257070A (zh) * | 2020-10-22 | 2021-01-22 | 全球能源互联网研究院有限公司 | 一种基于资产场景属性的漏洞排查方法及*** |
| CN112016100A (zh) * | 2020-10-27 | 2020-12-01 | 深圳开源互联网安全技术有限公司 | 基于sca工具的数据库维护方法、装置及可读存储介质 |
| CN112016100B (zh) * | 2020-10-27 | 2021-01-29 | 深圳开源互联网安全技术有限公司 | 基于sca工具的数据库维护方法、装置及可读存储介质 |
| CN112800430A (zh) * | 2021-02-01 | 2021-05-14 | 苏州棱镜七彩信息科技有限公司 | 适用于开源组件的安全与合规治理方法 |
| CN112905999A (zh) * | 2021-03-01 | 2021-06-04 | 武汉未意信息技术有限公司 | 恶意网站软件漏洞扫描安全检测*** |
| WO2022247199A1 (zh) * | 2021-05-24 | 2022-12-01 | 深圳前海微众银行股份有限公司 | 一种开源组件的漏洞检测方法及装置 |
| CN113778509A (zh) * | 2021-08-13 | 2021-12-10 | 国网河北省电力有限公司电力科学研究院 | 一种确定开源组件的版本的方法、存储介质和电子装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110543767A (zh) | 一种针对开源组件漏洞自动化监控方法及*** | |
| US9871815B2 (en) | Method and system for automated computer vulnerability tracking | |
| CN112182588B (zh) | 基于威胁情报的操作***漏洞分析检测方法及*** | |
| CN110943851B (zh) | 基于微服务的告警处理方法、装置及电子设备 | |
| CN109088773B (zh) | 故障自愈方法、装置、服务器及存储介质 | |
| CN109672663B (zh) | 一种安全威胁事件的闭环式网络***方法及*** | |
| CN104376023A (zh) | 一种基于日志的审计方法及*** | |
| CN108989336B (zh) | 一种用于网络安全事件的应急处置***及应急处置方法 | |
| CN112733147A (zh) | 设备安全管理方法及*** | |
| CN112416872A (zh) | 一种基于大数据的云平台日志管理*** | |
| CN113709170A (zh) | 资产安全运营***、方法和装置 | |
| CN103986607A (zh) | 一种智能数据中心语音声光报警监控*** | |
| CN117670033A (zh) | 一种安全检查方法、***、电子设备及存储介质 | |
| KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
| CN110619572A (zh) | 一种监控企业公开数据高容错性增长的方法 | |
| CN113438248B (zh) | 一种便于主站网络ip地址自查管理*** | |
| CN115396151A (zh) | 一种基于人工智能网络安全事件快速响应*** | |
| CN112702196A (zh) | 一种自动化故障处理方法和*** | |
| CN112765602A (zh) | 一种信息***方法和装置 | |
| CN117670261B (zh) | 一种安全运维审计操作一体化终端 | |
| CN117010917B (zh) | 一种消防产品维修溯源***和方法 | |
| CN117421198B (zh) | 一种基于安全的可视化资产管理***和方法 | |
| CN116401714B (zh) | 安全信息获取方法、装置、设备及介质 | |
| CN116822804B (zh) | 一种数字化资产管理分析方法、装置及介质 | |
| CN117454385A (zh) | 建立软件产品及其运行环境的sbom和安全漏洞检查的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191206 |